ที่ประชุมวิชาการ Password^12 บริษัท Stricture Consulting Group ได้นำเสนอการสร้างคลัสเตอร์ GPU เจาะรหัสผ่าน NTLM ทุกรูปแบบที่เป็นไปได้ของตัวอักษรเล็ก/ใหญ่, ตัวเลข, และสัญลักษณ์ที่ความยาวไม่เกิน 8 อักขระ ได้ในเวลาเพียง 5.5 ชั่วโมงเท่านั้น
หัวใจของโครงการนี้คือ VCL ที่สร้างให้ลินุกซ์ที่รันแอพพลิเคชั่น OpenCL สามารถรันบนคลัสเตอร์ได้เหมือนรันบนเครื่องเดียวกัน มีข้อจำกัดเพียงแค่เครื่องหลักต้องมีหน่วยความจำมากๆ กับเน็ตเวิร์คต้องมี latency ต่ำๆ เท่านั้น
ปัญหาของ NTLM คือ มันเป็นอัลกอริทึมแฮชที่ทำงานได้เร็วเกินไป คลัสเตอร์ที่ใช้การ์ดกราฟิก 25 คอร์สามารถแฮชได้ถึง 350 พันล้านแฮชต่อวินาที ขณะที่อัลกอลิทึมที่ช้าๆ เช่น bcrypt สามารถทำได้เพียง 71,000 แฮชต่อวินาทีเท่านั้น
ผลของความเร็วในการแฮชทำให้ทีมวิจัยสามารถแฮชรหัสผ่านทุกรูปแบบที่เป็นไปได้ของ NTLM จำนวน 95^8 กรณีได้ในเวลาเพียง 5.5 ชั่วโมง
แม้การอัลกอริทึมการแฮชส่วนมากจะมีขนาดแฮชใหญ่พอ (เช่น SHA512 มี 512 บิต) แต่รหัสผ่านที่คนกำหนดจริงมักไม่ใหญ่ขนาดนั้น ฟังก์ชั่นแฮชที่ทำงานได้เร็วจะทำให้แฮกเกอร์สามารถค้นหาค่าแฮชทุกค่าที่เป็นไปได้ภายใต้ความยาวที่กำหนดและย้อนกลับมาเป็นรหัสผ่านในกรณีที่รู้ค่าแฮช เช่น กรณีฐานข้อมูลรั่วไหล หรือกระทั่งถูกโจมตีโดยผู้ดูแลระบบ หรือผู้ดูแลข้อมูลสำรองที่อาจจะเห็นค่าแฮชเองได้ มาตรฐานการแฮชรหัสผ่านจึงต้องใช้ฟังก์ชั่นแฮชตระกูล crypt เช่น bcrypt, sha512crypt, หรือ PBKDF2
ที่มา - ArsTechnica , Password^12 (PDF)
Comments
แฮชได => แฮชได้
มันเร็วจนน่ากลัวจริง ๆ อัลกอริทึมใหม่ต้องเตรียมตัวกันแล้วสิ
นอนตาเหลือกน้ำลายฟูมปาก
พักนี้ผมเริ่มคลั่ง เอาพาสเวิร์ดในกำมือที่ดีที่สุด 2 ตัวมารวมกันได้ 16 อักขระ (มีพาสที่ใช้ประจำอยู่ 5 ตัว ตัวละ 8 อักขระ)
ขณะกำลังไล่เปลี่ยนนั้น ... พบว่าหลายๆ เว็บให้ใช้พาสเวิร์ดได้ยาวแค่ 10 อักขระ
ต้องมานั่งไล่เปลี่ยนกลับ แทบเป็นบ้า
ผมหมายถึงบ้ากว่าเดิมอ่ะครับ
แล้วจะพบว่า หลาย ๆ เว็บไม่ยอมให้เปลี่ยนกลับเป็นรหัสที่เคยใช้แล้ว แทบบ้าเหมือนกัน - -"
แต่รหัส 44 แล้วก็ 58 ตัวผมยังเก็บไว้ใช้ไม่กี่ที่เหมือนเดิม เพราะตามเว็บมันไม่ยอมรับความยาว (T^T) ขนาด router ยังจำกัด 30 ตัวจนผมต้องคิดตัวใหม่ยาวแค่ 28 มาใช้เลย
งั้นแสดงว่าตอนนี้ ทุกเว็บใช้รหัสเดียวกันหมด หึหึ
ไม่ครับ มีสลับๆ กันไป 5 ตัวครับ
ผมใช้ 17 ตัวอักษรมาตั้งแต่แรกเลย (ตัวใหญ่, ตัวเล็ก, ตัวพิเศษ และ เลขที่ไม่ซ่ำกัน) สำหรับเว็บที่จำกัดจำนวนก็จะตัดตัวหลังออกเช่น Outlook ตัดออก 1 ตัวอักษร
ส่วนเว็บบอร์ดทั่วๆ ไปที่ดูไม่น่าเชื่อถือก็ใช้พาส 11 ตัว และไม่มีความเกี่ยวข้องกับพาสหลัก
+1 ผมก็ทำแบบนั้น แบบพอเว็บพวกที่ความปลอดภัยสูงๆเช่น Gmail อะไรแบบนี้ผมจะใช้ทั้งตัวเลขตัวอักษรตัวเล็กใหญ่ แต่ว่าพวกเว็บก็ใช้พาส 8 ตัวเหมือนกันทุกเว็บ
blog
ผมพิมพ์เป็นภาษาอังกฎษแต่เวลากดผมมองที่แป้นไทย
ปัญหาคือ ถ้าไม่มีแป้นไทยผมซวย 5555
+1 หลายทีผมจำรหัสของเว็บที่จำกัดตัวอักษรไม่ได้ เพราะรหัสปกติมันยาว XD
Jusci - Google Plus - Twitter
ถึงผู้ใช้จะตั้งรหัสผ่านสั้น แต่ salt ยังช่วยได้อยู่? (ในกรณีคนเจาะไม่รู้วิธีคำนวณ salt)
Jusci - Google Plus - Twitter
salt ก็ช่วยได้ครับ ก็ต้องรักษาความปลอดภัย salt เช่นการ backup ต้องแยกกันกับฐานข้อมูล
เคสว่า backup-operator เห็นค่า hash เห็น salt แล้วเอาไปล็อกอินบัญชีลูกค้าแบบนั้นก็จบข่าว
lewcpe.com , @wasonliw
ผมมีทั้งหมด 26 ตัว ทั้งอักษรทั้งเลขเล็กใหญ่ปนกันไป แบ่งความยาวการใช้ตามระดับเวป คือ ไม่ลับ ปานกลาง และลับมากก ไม่รู้ว่าถ้าจะถอดทั้งหมด ต้องใช้เวลากันเท่าไร
สำหรับผม รหัสผ่านใช้พิมพ์ไทยบนแป้นอังกฤษได้ผลเสมอ บางที่ๆ สำคัญเพิ่มอักขระพิเศษเติมไปอีกตัว alt+??? ยาวไปใช้วิธีลดประโยคให้สั้นลงตามขั้น
ทำไมถึงใช้ GPU ไม่ใช้ CPU ล่ะครับ
ประมาณนี้มั้งครับ http://en.bitcoin.it/wiki/Why_a_GPU_mines_faster_than_a_CPU
เอามาขุด Bitcoin คงได้ เร็วน่าดู 350 Ghash/sec
ยาวสุดประมาณ 50 กว่าๆมั๊ง (บ้าเนอะ) แต่เว็บอื่นนอกจาก Google นี่จำกัดกันจัง -*-
เป็นข่าวที่อ่านแล้วไม่รู้เรื่องครับ อยากเอาหัวโขกจอเผื่อจะเข้าใจ
โขกจนตายก็ไม่เข้าใจหรอกครับ
มันใช้การศึกษาและถาม
lewcpe.com , @wasonliw
ไม่มีอะไรมากครับ ข่าวสรุปได้ว่า gpu สมัยใหม่สามารถจำลองให้ทำงานในสภาวะที่ประสานงานกันได้ ทำให้ได้ความเร็วสูงจัดจนสามารถเดารหัสผ่านระดับ 8 อักขระได้ใน 5 ชม.
ข่าวสรุปว่า จะใช้แค่ความยาวมาตัดสินว่ารหัสผ่านมันแกะยากไม่ได้อีกต่อไป ถ้าอยากให้มันยาก จะต้องเปลี่ยนวิธีการเข้ารหัส หรืออาจเพิ่มขั้นตอนการเข้ารหัสให้มันซับซ้อนขึ้นครับ
การเดาก็จะช้าลง
คร่าวๆ ประมาณนี้จ้า
อันนี้เผื่ออยากอ่าน คลัสเตอร์เป็นการนำคอมหลายๆ เครื่องมาต่อกันโดยใช้เครือข่ายความเร็วสูง และจะมีเครื่องหลักหนึ่งเครื่องที่ทำงานเป็นเครื่องหลักคอยแจกงานให้เครื่องอื่นๆ ช่วยประมวลผลพร้อมๆ กันเพื่อทำงานได้สักงานครับ เช่น ในกรณีนี้ก็ให้ช่วยกันเดารหัสผ่าน อย่างอื่นก็เช่นเรนเดอร์ภาพ 3d ครับ
ผมเองเคยแค่ศึกษา ไม่เคยจับของจริง รอเซียนมาต่อนะครับ
พิมพ์ในแท็บ ดีเลย์โคตรๆ
เหอะๆ
เนื้อข่าว แค่ประโยคเดียว ใช้ศัพท์ เฉพาะทาง เยอะมากเลยครับ ถ้าไม่อยู่ในวงการ นี่ อ่านแล้วมึนเลยทีเดียว
แค่ประโยคนี้
หัวใจของโครงการนี้คือ VCL ที่สร้างให้ลินุกซ์ที่รันแอพพลิเคชั่น OpenCL สามารถรันบนคลัสเตอร์ได้เหมือนรันบนเครื่องเดียวกัน มีข้อจำกัดเพียงแค่เครื่องหลักต้องมีหน่วยความจำมากๆ กับเน็ตเวิร์คต้องมี latency ต่ำๆ เท่านั้น
ศัพท์เพียบ
เจอพิมพ์ตัวอักษรไทยเข้าไป โปรแกรมถอดคงไปไม่เป็นกันเลยล่ะ
เว็บส่วนมากไม่รับอักษรไทยเป็นรหัสผ่านนะครับ
NTLM ครับ
ระหว่าง GPU กับ FPGA อะไรจะเร็วกว่ากันนะ? ที่เห็นตามข่าวบ่อยๆรู้สึกจะเป็น FPGA แต่ GPU ก็พัฒนาเร็วเหมือนกัน
ถ้าเทคโนโลยีใกล้ๆ กัน FPGA ควรจะเร็วกว่าเพราะพัฒนามาเฉพาะครับ แต่ในความเป็นจริง GPU จะใช้เทคโนโลนยีใหม่ในราคาที่ถูกกว่ามาก แถมกระบวนการพัฒนาซอฟต์แวร์ก็ง่ายกว่าไลบรารีและเครื่องมือช่วยเหลือที่เป็นมาตรฐานมีมากมาย เช่นกรณีข่าวนี้คือ VCL
lewcpe.com , @wasonliw